UFW, разрешить от wlan до eth
Я хотел бы использовать ноутбук Ubuntu 12.04 в качестве Wi-Fi-подключения к моему смартфону. Все идет хорошо, используя dnsmasq и hostapd и разрешая порты 68 и 53 на UFW. Но для доступа в Интернет UFW должен быть отключен. Соединение в порядке (Wi-Fi подключен, IP-адрес принят, DNS-запрос переадресован ...) В полном журнале UFW я вижу:
Oct 3 17:09:41 ccd-7840l kernel: [28302.397796] [UFW AUDIT] IN=wlan1 OUT=eth8 MAC=8c:...:00 SRC=192.168.0.59 DST=74.125.234.196 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=22391 DF PROTO=TCP SPT=46279 DPT=443 WINDOW=14600 RES=0x00 SYN URGP=0
Oct 3 17:09:41 ccd-7840l kernel: [28302.397841] [UFW BLOCK] IN=wlan1 OUT=eth8 MAC=8c:...:00 SRC=192.168.0.59 DST=74.125.234.196 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=22391 DF PROTO=TCP SPT=46279 DPT=443 WINDOW=14600 RES=0x00 SYN URGP=0
Затем я добавил следующие правила:
sudo ufw allow from 192.168.0.59
sudo ufw allow in on wlan1 from 192.168.0.48/28
Но это все еще блокирует. Я не знаю, что искать в Google, чтобы исправить это:)
1 ответ
Это решение работало на меня.
Во-первых, пакетная передача должна быть включена в ufw. Два конфигурационных файла должны будут быть скорректированы в изменении/etc/default/ufw DEFAULT_FORWARD_POLICY для “ПРИНЯТИЯ”:
DEFAULT_FORWARD_POLICY = "ПРИНИМАЮТ"
Затем отредактируйте/etc/ufw/sysctl.conf и некомментарий: (Я предполагаю, что Ваш сценарий для запуска виртуальной горячей точки уже устанавливает Передачу IP. Таким образом, можно пропустить этот шаг. или может хотеть удалить передающую строку IP из Вашего сценария.)
net/ipv4/ip_forward=1
Точно так же для передающего некомментария IPv6:
net/ipv6/conf/default/forwarding=1
Теперь мы добавим правила к/etc/ufw/before.rules файлу. Значение по умолчанию управляет, только настраивают таблицу фильтра, и позволять подменить туземную таблицу должно будет быть настроено. Добавьте следующее к вершине файла сразу после комментариев заголовка: (Снова, если у Вас есть сценарий, который Вы используете для запуска горячей точки, Вы можете или вероятно должны удалить любые строки, касающиеся masqueradaing оттуда.)
># nat Table rules
>*nat
>:POSTROUTING ACCEPT [0:0]
># Forward traffic through eth8.
>-A POSTROUTING -s 192.168.0.0/24 -o eth8 -j MASQUERADE
># don't delete the 'COMMIT' line or these nat table rules won't be processed
>COMMIT
Комментарии не строго необходимы, но это считают хорошей практикой для документирования конфигурации. Кроме того, при изменении любого из файлов правил в/etc/ufw удостоверьтесь, что эти строки являются последней строкой для каждой измененной таблицы:
# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT
Для каждой Таблицы требуется соответствующий оператор COMMIT. В этих примерах только показывают туземные таблицы и таблицы фильтра, но можно также добавить правила для сырых данных и исказить таблицы. [Примечание]
В вышеупомянутом примере заменяют eth8 и 192.168.0.0/24 с соответствующими интерфейсами и диапазоном IP для Вашей сети.
Наконец, отключите и повторно позвольте ufw применить изменения:
sudo ufw disable && sudo ufw enable
Подмена IP должна теперь быть включена. Можно также добавить, что любой дополнительный ВПЕРЕД управляет к/etc/ufw/before.rules. Рекомендуется, чтобы эти дополнительные правила были добавлены к ufw-forward цепочке.